Lek in Google Chrome toont problemen in patch-proces van Google

István Kurucsai, beveiligingsonderzoeker voor Exodus Intelligence, heeft proof-of-concept code gepubliceerd voor een kwetsbaarheid in Google Chrome die nog niet gedicht is. Daarmee wil de onderzoeker aantonen dat er problemen zijn met het patch-proces van Google.

De kwetsbaarheid – een remote code execution-fout waarmee een aanvaller code op het systeem van een gebruiker kan laten draaien – is al wel gedicht in V8, de JavaScript-engine van Chrome, maar zit nog niet in de stabiele versie van de browser, V73. Die browser wordt naar schatting door ruim een miljard mensen gebruikt.

De kwetsbaarheid zelf is redelijk onschadelijk in zijn huidige vorm, schrijft ZDNet. De fout heeft namelijk geen sandbox ontsnappingskwetsbaarheid om een volledige exploit-keten te zijn, en om code te kunnen draaien op het onderliggende besturingssysteem. Aanvallers kunnen oudere sandbox ontsnappingsfouten in Chrome echter wel gebruiken samen met de huidige fout, om gebruikers van Chrome zonder patch aan te vallen.

Problemen in proces

Kurucsai wilde met het proof-of-concept aantonen dat er problemen zijn in het patch-proces van Google. Dat proces heeft namelijk een korte tijd waarin cybercriminelen Chrome-exploits kunnen ontwikkelen en gebruikers kunnen aanvallen. Dat gat komt uit Chrome’s IT-bevoorradingsketen, dat het importeren en het testen van code van verschillende open source-projecten omvat.

In dit geval losten engineers van Google op 18 maart een V8-beveiligingsprobleem op, dat later bekend werd in de changelog van het V8-project en in de broncode. De oplossing zat echter niet niet in de Chrome Stable-release. Op dit moment reist de patch door de de kanalen van Chrome, waarbij het geïntegreerd moet worden in het Chromium open source-project en daarna geïntegreerd wordt in de Chrome codebase.

Vervolgens wordt het getest in Chrome Canary- en Chrome Beta-releases, voordat het in de laatste Stable branch komt in de vorm van een patch. “Hoewel beveiligingsoplossingen direct beschikbaar zijn in de source tree, hebben ze als gevolg van dit open source-ontwikkelingsmodel tijd nodig om getest te worden in de niet stabiele release-kanalen van Chrome, voordat ze via het auto-update-mechanisme gepusht kunnen worden als onderdeel van een stable release”, aldus Kurucsai.

“Daardoor is er een klein moment van een aantal dagen tot soms zelfs weken waarin details over de kwetsbaarheid praktisch openbaar zijn gemaakt, terwijl de meeste gebruikers nog kwetsbaar zijn en geen patch kunnen krijgen.”